Mehr Macht für den Datenschutz: Was der EDÖB jetzt darf – und was das für Organisationen bedeutet

Erhält der EDÖB Hinweise auf mögliche Verstösse gegen Datenschutzvorschriften, prüft er zunächst, ob genügend Anzeichen für die Eröffnung einer formellen Untersuchung vorliegen. Solche Hinweise können durch Anzeigen betroffener Personen, Dritter oder durch eigene Feststellungen des EDÖB, beispielsweise aus Medienberichten, stammen. Der Begriff «Datenschutzvorschriften» umfasst nicht nur das Datenschutzgesetz selbst, sondern auch andere Bundesnormen, die dem Schutz von Personendaten dienen, beispielsweise Bestimmungen im Krankenversicherungsgesetz. Vor der Eröffnung einer formellen Untersuchung führt der EDÖB in der Regel eine informelle Vorabklärung durch, um den Sachverhalt einzuschätzen und den weiteren Handlungsbedarf zu klären.

Bevor der EDÖB eine formelle Untersuchung einleitet, führt er in der Regel eine informelle Vorabklärung durch. Diese dient dazu, eine erste Einschätzung vorzunehmen, ob ein möglicher Verstoss gegen datenschutzrechtliche Bestimmungen vorliegt und ob die Eröffnung einer Untersuchung notwendig ist. Im Rahmen dieser Vorabklärung kann der EDÖB Informationen aus öffentlich zugänglichen Quellen beschaffen, betroffene Personen oder Dritte befragen oder sich direkt an die verantwortliche Organisation wenden, um erste Auskünfte einzuholen. Für betroffene Organisationen bestehen zu diesem Zeitpunkt noch keine Mitwirkungspflichten. Eine kooperative Haltung ist jedoch von Vorteil, weil dadurch die Chancen erhöht werden, dass es bei der Vorabklärung bleibt und kein formelles Verfahren eröffnet werden muss. 

Im Rahmen dieser Vorabklärung freiwillig übermittelte Unterlagen unterliegen übrigens dem Öffentlichkeitsprinzip. Es ist daher ratsam, sensible Inhalte mündlich oder in bearbeiteter Form weiterzugeben, damit eine spätere Einsicht durch Dritte unproblematisch ist. In unkomplizierten Fällen mit eindeutigen Sachverhalten, etwa bei der Durchsetzung von Auskunftsrechten, kann der EDÖB die betroffene Organisation schriftlich und unter Fristsetzung auffordern, ihr Verhalten an die gesetzlichen Vorgaben anzupassen. Diese sogenannte «niederschwellige Intervention» ist eine informelle, praxisorientierte Massnahme, mit der auf Missstände hingewiesen und eine freiwillige Nachbesserung angestrebt wird. Das Instrument hat sich bewährt: Laut aktuellen Zahlen reagieren Organisationen in rund 90 % der Fälle kooperativ und setzen die geforderten Anpassungen um. 

Ergeben sich im Rahmen der Vorabklärung hinreichende Anzeichen für einen Verstoss, eröffnet der EDÖB eine formelle Untersuchung. Die betroffene Organisation wird darüber informiert und ist ab diesem Zeitpunkt zur Mitwirkung verpflichtet. Das heisst, dass sie dem EDÖB alle Auskünfte erteilen und Dokumente zur Verfügung stellen muss, die für die Untersuchung notwendig sind. 

Die Einleitung der Untersuchung dient der Aufklärung des Sachverhalts und ist nicht als Sanktion zu verstehen. Sie erfolgt denn auch formlos, heisst: nicht in Form einer Verfügung. Daher kann sie nicht angefochten werden. Die betroffene Organisation hat allerdings Anspruch auf rechtliches Gehör.

Verweigert die Organisation ungerechtfertigterweise die Mitwirkung, kann der EDÖB u. a.  den Zugriff auf Daten, Systeme und Räume erzwingen, Zeugen einvernehmen und Gutachten von Sachverständigen in Auftrag geben. 

Bei vorsätzlicher Verweigerung der Mitwirkung oder Missachtung einer Anordnung des EDÖB drohen Bussen von bis zu CHF 250'000.

Im Zeitraum vom 1. September 2024 bis zum 21. Januar 2025 sind beim EDÖB 1406 Anzeigen wegen mutmasslicher Datenschutzverletzung eingegangen. Zudem wurden 116 niederschwellige Interventionen, 16 informelle Vorabklärungen und 8 formelle Untersuchungen durchgeführt. Zwei dieser formellen Untersuchungen sind derzeit beim Bundesverwaltungsgericht hängig.

Bei Verstössen gegen Datenschutzvorschriften kann der EDÖB anordnen, dass unrechtmässige Datenbearbeitungen angepasst, gestoppt oder beendet werden. Auch die Löschung bereits erhobener Personendaten kann verfügt werden. Bei unzulässigen Datenübermittlungen ins Ausland darf der EDÖB diese aufschieben oder untersagen.

Bei Verstössen gegen organisatorische Pflichten oder Betroffenenrechte kann der EDÖB anordnen, dass versäumte Massnahmen nachgeholt werden. Dazu zählen etwa die nachträgliche Durchführung einer Datenschutz-Folgenabschätzung, die Herstellung von Transparenz und Auskunft gegenüber betroffenen Personen, die Umsetzung technischer und organisatorischer Sicherheitsvorkehrungen sowie – bei ausländischen Unternehmen – die Benennung einer Vertretung in der Schweiz. Ziel ist es, die Einhaltung zentraler Datenschutzpflichten sicherzustellen.

Hat sich der Verstoss während des Verfahrens erledigt, hat der Gesetzgeber vorgesehen, dass der EDÖB eine Verwarnung aussprechen kann, um den Verstoss nicht ungesühnt zu lassen und für die Zukunft Wirkung zu entfalten. Öffentlich bekannt gemacht, beispielsweise über die Website oder im Jahresbericht, werden nur Fälle von allgemeinem Interesse.

Eine Meldung kann vom EDÖB selbst, durch betroffene Personen oder Dritte ausgelöst werden. Dafür stellt der EDÖB zwei Onlineformulare zur Verfügung: Das Anzeigeformular für Betroffene und das Anzeigeformular für Dritte. 

Um eine effiziente Prüfung durch den EDÖB zu gewährleisten, sollten der Meldung relevante Unterlagen beigelegt werden, jedoch ohne sensiblen Inhalt, der der meldenden Person selbst schaden könnte. Wichtig: Anzeigen, die andere Rechtsbereiche betreffen (z. B. Urheber- oder Strafrecht), werden nicht behandelt.

Mit der neuen Rechtslage hat der EDÖB echte Durchsetzungskraft erhalten. Organisationen können jedoch souverän und kooperativ reagieren, wenn sie gut vorbereitet sind.  Wer Datenschutzprozesse dokumentiert, Zuständigkeiten regelt und transparent kommuniziert, reduziert das Risiko von Massnahmen und wahrt seine Reputation. Der Unterschied macht die Organisation mit einer guten Prävention.